Článek
Děsí vás představa aut, která se řídí sama? Tak si zkuste představit, že jedete v takovém autonomním voze, který však řídí někdo úplně jiný, kdo má nekalé úmysly. To je samozřejmě extrémně temný výhled do vzdálené budoucnosti, určitá rizika však hrozí již dnes…
Od momentu, kdy se v autech začaly objevovat elektronické řídicí jednotky, přišla s nimi i nová forma zranitelnosti. Například centrální zamykání a imobilizér mohou představovat otevřené dveře pro zloděje, a to i u automobilů více než dvacet let starých. Dnes jsou takových jednotek na palubě vysoké desítky až stovky a ovládají naprosto vše od rozsvícení světel nebo stahování oken přes celé pohonné ústrojí až po sofistikované jízdní asistenty, kterým svěřujete svůj život.
Nová rizika přináší rozvoj digitalizace a konektivity – v každém autě je dnes infotainment, který je online (pro potřeby navigačních dat a automatických aktualizací, ale třeba také streamování hudby, stahování informací nebo předpovědi počasí) a k němuž připojujete svůj telefon plný všemožných aplikací. To nám sice ohromně ulehčuje a zpříjemňuje život, ale z pohledu IT bezpečnosti je to noční můra.
Moderní auta jsou digitalizací a konektivitou doslova našlapaná, což jim přináší neuvěřitelné nové možnosti. Ale také to s sebou nese určitá bezpečnostní rizika.
„U nedostatečně zabezpečených automobilů hrozí celá řada útoků. Hackeři mohou převzít kontrolu nad vozem nebo v případě firemních aut mohou zablokovat celou flotilu a požádat o výkupné, jako se to děje v případě útoků na počítačové sítě velkých firem či státních institucí. Může jít také o nenápadnější útoky, např. krádež citlivých dat: geolokace vozu, telefonní kontakty či zprávy a další důležité údaje,“ vyjmenovává možné scénáře Vladislav Kocián, vedoucí laboratoře kybernetické bezpečnosti v TÜV SÜD Czech.
TÜV SÜD Czech v čase
Vše začalo v roce 1952 založením Ústavu výzkumu motorových vozidel (ÚVMV) v Praze, vědeckotechnického institutu, který měl za úkol spolupracovat s automobilkami a jinými strojírenskými podniky na výzkumných a vývojových pracích. V roce 1961 byla spuštěna zkušební laboratoř pro schvalování vozidel, jež v roce 1972 získala mezinárodní uznání v podobě notifikace na homologaci vozidel dle požadavků EHK OSN.
ÚVMV prováděl první crash testy, tehdy byla zkoušená auta rozjížděna proti pevné překážce parní raketou.
V roce 1995 se výzkumný ústav stal součástí skupiny TÜV SÜD a dočkal se dalšího rozvoje v podobě otevření nové laboratoře měření emisí (VTP Roztoky) a airbagové laboratoře (Nymburk), nového testovacího centra a laboratoře pro dynamické zkoušky (Mladá Boleslav), zkušebny autobusů a zkušebního polygonu ADAS. Nejnovějším přírůstkem je laboratoř kybernetické bezpečnosti. Aktuálně se také rozvíjí zkušební oblasti pro autonomní řízení, digitalizaci, elektromobilitu a vodíkové pohony.
Automobilky své systémy samozřejmě samy zabezpečují, od července letošního roku však budou muset být všechna nově homologovaná auta také nezávisle testována a certifikována v oblasti kyberbezpečnosti. Kromě předložení dokumentace popisující zásady a procesy zabezpečení modelu se na automobil vrhnou i etičtí hackeři, kteří prověří slabiny zabezpečení jeho systémů, aby je výrobce mohl napravit ještě předtím, než je zneužije někdo zvenčí.
Zvláštní pozornost se věnuje aktivním prvkům, jež mohou zasáhnout přímo do řízení – u nich je vyžadována zvýšená úroveň zabezpečení. Důležité jsou také tzv. vektory útoku, tedy cestičky, kterými si hackeři hledají cestu do systémů vozu. „Je patrné, že nedostatečně šifrovaná komunikace mezi autem a jeho řídicími jednotkami, nebo i vzdálenými servery, je nejčastěji zneužívanou slabinou. Následuje protokol, kterým komunikuje vůz a jeho elektronický klíč, dále pak sběrnice ovládající samotné řídicí jednotky, ale také palubní infotainment, jejž často připojujeme skrz mobilní sítě či wi-fi do okolního světa. Nebo ho propojíme s mobilním telefonem plným aplikací, čímž vystavíme vůz dalším potenciálním útokům zvenčí,“ shrnuje Vladislav Kocián závěry pravidelně zveřejňovaných bezpečnostních analýz.
Analýza společnosti Upstream Security identifikuje tyto automobilové komponenty jako nejcitlivější místa z hlediska bezpečnosti.
Klíčovou součástí aktivních zkoušek jsou simulované útoky, tedy exaktní a zopakovatelné postupy, jejichž účelem je eliminace či zmírnění potenciálních rizik. Netestuje se jen hotový výrobek, ale v průběhu vývoje také každá ze zranitelných komponent. Celý proces přípravy vozu na homologaci, od prvních konzultací až po závěrečné zkoušky, tak zabere až dva roky.
Digitální svět se ale rychle mění, proto získat razítko na konci zkušebního procesu není všechno. „Automobilky získávají homologaci, která je platná v době uvedení na trh, ale samy následně musí hlídat bezpečnostní situaci a v případě napadení svých vozů hackery mají povinnost zasáhnout. Podobně jako v případě bezpečnostní díry v operačních systémech mobilních telefonů mohou nabídnout update softwaru bezdrátovou aktualizací, v průběhu pravidelných servisních prohlídek nebo v rámci svolávací akce provést zásadnější změny,“ doplňuje Jan Hnilica, vedoucí sekce integrovaného testování v TÜV SÜD Czech.
Automobilky se však mohou snažit sebevíc, nejzranitelnější částí bezpečnosti je vždy neopatrný uživatel – zvláště v době, kdy neustále roste počet různých internetových scamů, tedy podfuků, blafů a podvodů. A zvyšuje se také jejich sofistikovanost, takže nenaletět je čím dál těžší. Co tedy pro bezpečnost svého auta můžete udělat sami?
Největší bezpečnostní riziko pro auto představuje jeho uživatel a především jeho mobilní telefon, který k vozu připojuje.
Jan Hnilica doporučuje starat se o svůj mobilní telefon, který připojujete k systémům automobilu – ten totiž může být otevřenou bránou všem podvodníkům a hackerům. Dalším velkým rizikem jsou také veškerá dodatečná zařízení slibující odemčení nových funkcí automobilu nebo zvýšení výkonu/snížení spotřeby motoru, s nimiž se na internetových obchodech roztrhl pytel.
Mějte na paměti, že se tento problém týká nejen nových, ale také starších aut – jich možná ještě víc, protože i když mají menší počet napadnutelných systémů, nikdo u nich tehdy kybernetickou bezpečnost nejspíš neřešil, což dokazuje četnost útoků zlodějů především na bezklíčové odemykání a imobilizéry. Nechceme vás nijak děsit, ale obezřetnost je namístě.